وحدات Go الخبيثة تنشر برمجيات خبيثة تمسح الأقراص في لينكس

اكتشف باحثو الأمن السيبراني مؤخرًا ثلاث وحدات Go ضارة تستخدم أكوادًا مشوشة لجلب حمولات غير آمنة، مما قد يُلحق ضررًا لا رجعة فيه بأنظمة Linux. تبدو هذه الوحدات سليمة، لكنها مصممة لتنفيذ حمولات عن بُعد تمسح بيانات القرص الرئيسي للنظام، مما يجعله غير قابل للتشغيل.

تم تحديد حزم Go غير الآمنة

تتضمن وحدات Go التالية:

github[.]com/truthfulpharm/prototransform

github[.]com/blankloggia/go-mcp

github[.]com/steelpoor/tlsproxy

تحتوي هذه الحزم على كود مشوش للغاية، تم تصميمه لتنزيل الحمولات وتنفيذها عند تشغيلها على نظام Linux.

الحمولات المدمرة تستبدل بيانات القرص الحرجة

يتحقق الكود التالف من وجود نظام تشغيل لينكس، وفي حال اكتشافه، يستخدم wget لجلب حمولة المرحلة التالية من خادم بعيد. هذه الحمولة عبارة عن نص برمجي شل مدمر يستبدل القرص الرئيسي للنظام (/dev/sda) بأصفار. ونتيجة لذلك، يصبح النظام غير قابل للتشغيل، ولا يمكن لأي أدوات استعادة البيانات أو عمليات التحليل الجنائي استعادة المعلومات المفقودة، حيث يُدمر القرص بشكل لا رجعة فيه. تُبرز هذه الطريقة المخاطر الشديدة التي تُشكلها هجمات سلسلة التوريد، حيث يُمكن أن تُسبب الشيفرة المشروعة أضرارًا كارثية لخوادم لينكس وبيئات المطورين.

التهديد المتزايد من حزم npm الاحتيالية

إلى جانب اكتشاف وحدات Go غير الآمنة، تم أيضًا اكتشاف العديد من حزم npm الضارة. صُممت هذه الحزم لجمع معلومات حساسة، قد تشمل عبارات مرجعية ومفاتيح عملات مشفرة خاصة، مما قد يؤدي إلى سرقة الأصول الرقمية للمستخدمين.

تم تحديد حزم npm المشبوهة

تم وضع علامة على حزم npm التالية على أنها تم العبث بها:

• تشفير-تشفير-ts
• اختبار عرض صفحة التمرير في react-native
• حزمة الخدمات المصرفية
• buttonfactoryserv-paypal
• اختبار تومي بوي
• الامتثال readserv-paypal
• oauth2-paypal
• خدمة منصة الدفع - باي بال

• جسر المستخدم-باي بال

• علاقة المستخدم-باي بال

تم تصميم هذه الحزم بطريقة شريرة لاستخراج معلومات حساسة، مما يشكل تهديدًا كبيرًا لخصوصية المستخدمين وأمنهم.

حزم PyPI المحملة بالبرامج الضارة تحصد بيانات العملات المشفرة

شهد مستودع فهرس حزم بايثون (PyPI) أيضًا زيادةً في عدد الحزم المخترقة التي تستهدف محافظ العملات المشفرة. تم تنزيل هذه الحزم أكثر من 6800 مرة منذ إصدارها عام 2024، وهي مصممة لسرقة عبارات أساسية سهلة التذكر، مما يُعرّض ممتلكات المستخدمين من العملات المشفرة للخطر.

حزم PyPI غير الآمنة البارزة

تتضمن الحزمتان الرئيسيتان المستهدفتان لمحافظ العملات المشفرة ما يلي:

• ويب 3 اكس
• هنا المحفظة الروبوتية

تهدف هذه الحزم إلى استنزاف عبارات التذكير الأساسية من المستخدمين، مما يُعرّض أصولهم الرقمية للخطر. إضافةً إلى ذلك، اكتُشفت مجموعة أخرى من سبع حزم PyPI، أُزيلت الآن، تستخدم خوادم SMTP وWebSockets من Gmail لاستخراج البيانات وإنشاء وصول عن بُعد.

استخراج البيانات عبر Gmail وتنفيذ الأوامر عن بُعد

تستخدم حزم PyPI غير الآمنة بيانات اعتماد Gmail المُبرمجة مسبقًا لتسجيل الدخول إلى خادم SMTP الخاص بـ Gmail وإرسال رسالة إلى عنوان Gmail آخر للإشارة إلى نجاح الاختراق. بعد ذلك، يتم إنشاء اتصال WebSocket، مما يسمح للمهاجم بالحفاظ على اتصال ثنائي الاتجاه مع النظام المُخترق.

ويجعل استخدام نطاقات Gmail (smtp.gmail.com) هذه الهجمات أكثر سرية، حيث من غير المرجح أن تقوم وكلاء الشركات وأنظمة حماية نقاط النهاية بتصنيفها على أنها مشبوهة، نظرًا للثقة المرتبطة بخدمات Gmail.

الحزمة المميزة: cfc-bsb

تتميز الحزمة cfc-bsb بأنها لا تحتوي على وظيفة Gmail ولكنها تستخدم بدلاً من ذلك منطق WebSocket لتسهيل الوصول عن بعد، متجاوزة تدابير الكشف التقليدية.

كيفية التخفيف من تهديدات سلسلة التوريد

للحماية من هذه الحزم الضارة وغيرها من تهديدات سلسلة التوريد، ينبغي على المطورين اعتماد الممارسات التالية:

• التحقق من صحة الحزمة : تحقق من سجل الناشر وروابط مستودع GitHub للتأكد من شرعية الحزمة.

• تدقيق التبعيات بشكل منتظم : قم بمراجعة التبعيات بشكل روتيني وتأكد من أنها محدثة وخالية من التعليمات البرمجية الضارة.

• فرض ضوابط صارمة للوصول : تنفيذ آليات صارمة للتحكم في الوصول لحماية المفاتيح الخاصة وغيرها من بيانات الاعتماد الحساسة.

بالإضافة إلى ذلك، ينبغي على المطورين توخي الحذر من الاتصالات الصادرة غير الاعتيادية، وخاصةً حركة مرور SMTP، إذ قد يستخدم المهاجمون خدماتٍ شرعية مثل Gmail لاستخراج البيانات. من الضروري أيضًا تجنب الثقة في حزمةٍ ما لمجرد وجودها لفترةٍ طويلة دون إزالتها، لأن ذلك قد يُخفي نشاطًا غير آمن.